Запрет записи на USB-Flash в GPO

Создаем flash_block.bat с содержанием: 

REG ADD «HKLMSystemCurrentControlSetControlStorageDevicePolicies» /v «WriteProtect» /t «REG_DWORD» /d «1» /f

В домене:
Пользователи и компьютеры — правой конпкой клик на объект групповой политики (в моем случае Office
Запрет записи на USB-Flash в GPO 4

Вкладка «Групповая политика» — создать.
Называем созданную политику как хотим
Заходим в «Свойства», вкладка «Безопастность».
Группу «прошедшие проверку» удаляем, добавляем нужных пользователей (либо группу) и ставим галку «Применение групповой политики» (на каждом пользователе/группе)
Жмем «применить», «ок».

Возвращаемся во вкладку  «Групповая политика»
Выделяем созданную политики — Изменить

Конфигурация пользователя — Конфигурация Windows — Сценарии (Вход/Выход) — Вход в систему
Добавляем наш  flash_block.bat  (должен лежать в общем сетевом хранилище)
Запрет записи на USB-Flash в GPO 5


Далее все закрываем, запускаем коммандную строку и выполняем в ней gpupdate/force, чтоб применились групповые политикик

Авторизируемся с учетной записью, на которой запретили запись на флэшки и проверяем.

PS. Чтоб вернуть возможность записи: либо снесите ветку реестра, либо выполните батник flash_unblock.bat с содержанием:

REG ADD «HKLMSystemCurrentControlSetControlStorageDevicePolicies» /v «WriteProtect» /t «REG_DWORD» /d «0» /f

PPS. Проверена работоспособность в Windiws XP (sp2, sp3) и Windows 7.

Максим Макаров
У блога появился хостинг, его любезно предоставила компания Облакотека.
Облакотека - облачные сервисы для создания и управления виртуальной ИТ-инфраструктурой.
Если вам понравился мой блог и вы хотели бы видеть на нем еще больше полезных статей, большая просьба поддержать этот ресурс. Для этого достаточно кликнуть на контекстную рекламу, расположенную на сайте.
Оцените автора
IT Draft
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.